Уважаемые коллеги, добрый день!

Прошу подсказать, есть ли возможность настроить аудит доступа к объектам на попытки копирования определенной ветки реестра с ключом?

Задача - перевести часть пользователей со съемных носителей на "реестр" и отслеживать попытки скопировать ключ.



В статье https://docs.microsoft.c.../auditing/audit-registry
нашел следующие события аудита доступа к объектам:

• 4663(ов): предпринята попытка получить доступ к объекту.
• 4656(S; F): запрошен дескриптор объекта.
• 4658(ов): дескриптор объекта был закрыт.
• 4660(ов): объект удален.
• 4657(ов): изменено значение реестра.
• 5039(-): раздел реестра виртуализирован.
• 4670(ов): разрешения на доступ к объекту были изменены.

Не могу понять, с точки зрения аудита будет ли разница, если ключ считывается для использования при подписании ЭП, либо если считывается для копирования? Отдельного события для копирования ключа не нашел.

Экспорт запрещен
Дело в том, что мы помещаем пользователю ключ в реестр как раз из pfx, снимая галку "отметить ключ как экспортируемый", но при этом из regedit возможность экспортировать в файл .reg остается, как и дальнейшее использование такого ключа.

Доброго дня. 1) regedit думали запретить на уровне групповых политик , но ИТ взвыло - у них ежедневно регламентные работы, связанные с редактированием реестра на ПК пользователей, не смогли договориться. 2) А Вы не думали, что ключи, выданные на должностное лицо ЮЛ, являются как бы сущностью ЮЛ? И все связанные риски и ответственность от неправомерного использования такой ЭП скорее всего ляжет на организацию? И лучше уж "прибивать" ключ к рабочему компьютеру, чем "прибивать" сотрудника к офису в условиях пандемии...

Про стойкость пин-кода знаем, слышали. От внешних нарушителей, кстати, стойкий пароль тоже не всегда спасает (если вспомнить, от каких атак защищают устройства вроде калемберговского SafeTouch, от которых не защищают даже носители с неизвлекаемым ключом и стойким пин-кодом).
3) У нас 80% пользователей на удаленке, носитель с неизвлекаемым ключом остается сдавать только консьержке :) Зачем выносить УКЭП ЮЛ за периметр ЮЛ? Как контролировать, что там с этим токеном происходит? Да и переводить порядка 2000 пользователей с обычных токенов на неизвлекабельные не представляется возможным, ведь в этом случае нужно генерировать новые ключи изначально на неизвлекабельных носителях и перевыпускать сертификаты внепланово. Это трудо-време-затратно, дорого и глупо. Что касается стойкости паролей, тут вопросов нет, знаем, слышали, ставим только стойкие, отключаем возможность сохранения пин-кода средствами gpedit.msc, отмечаем ключи как неэкспортируемые. Если бы ко всему нам все же позволили бы запрещать regedit.exe, все эти меры в совокупности защитили бы ключ не хуже токена.
4) Все же жаль, что не получается полноценно мониторить попытки копирования кустов реестра стандартными средствами windows, может быть кто-то знает альтернативные решения аудита попыток копирования?

Чтение = использование ключа при подписании, не будем запрещать.

Рассматривали вариант с "привязкой" к токену при экспорте из pfx с признаком неэкспортируемости. Но в этом случае мы теряем контроль за использованием токена вне периметра организации, такой ключ можно будет вставить в другой ПК и подписывать что душе угодно.

В случае с ключом в реестре (+ все перечисленные меры защиты) для его извлечения и экспорта все-таки придется повозиться на ПК, находящемся в пределах контролируемой зоны, останутся следы, со всеми вытекающими, Вы так не думаете?

Есть утилиты, которые прочитают этот контейнер и запишут куда нужно.

У Вас не изолированная среда, верно?
Так что ветка реестра свободно улетает по почте\файловый обмен\да хоть pastebin?
Или почту запретили внешнюю, сайт - только белый список, флешку левую нельзя вставить?